使用介面端點 (AWS PrivateLink) 存取 Amazon Elastic Kubernetes Service - Amazon EKS
考量事項建立介面端點

協助改善此頁面

想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用介面端點 (AWS PrivateLink) 存取 Amazon Elastic Kubernetes Service

您可以使 AWS PrivateLink 用在 VPC 和 Amazon Elastic Kubernetes Service 之間建立私有連接。您可以像在 VPC 中一樣存取 Amazon EKS,而無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體無需公有 IP 地址,即可存取 Amazon EKS。

您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon EKS 之流量的進入點。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的透過 AWS PrivateLink存取 AWS 服務

Amazon EKS 的考量事項

  • 在您為 Amazon EKS 設定介面端點之前,請檢閱《AWS PrivateLink 指南》中的「考量事項」。

  • Amazon EKS 支援透過介面端點呼叫其所有 API 動作,但不支援呼叫 Kubernetes API。Kubernetes API 伺服器已支援私有端點。Kubernetes API 伺服器私有端點會為您用於與叢集進行通訊的 Kubernetes API 伺服器建立私有端點 (使用 Kubernetes 管理工具,例如 kubectl)。您可以啟用 Kubernetes API 伺服器的私有存取權,以便節點與 API 伺服器之間的所有通訊都保持在 VPC 中。 AWS PrivateLink Amazon EKS API 可協助您從 VPC 呼叫 Amazon EKS API,而不會將流量暴露到公用網際網路。

  • 您無法將 Amazon EKS 設定為只能透過介面端點存取。

  • 適用於的標準定價 AWS PrivateLink 適用於 Amazon EKS 的界面端點。對於在每個可用區域中佈建的介面端點,以及透過介面端點處理的資料,都會按每小時向您收費。如需詳細資訊,請參閱 AWS PrivateLink 定價

  • Amazon EKS 不支援 VPC 端點政策。依預設,允許透過介面端點完整存取 Amazon EKS。或者,您也可以將安全群組與端點網路介面相關聯,以控制透過介面端點傳輸至 Amazon EKS 的流量。

  • 您可以使用 VPC 流量日誌來擷取傳入和傳出網路介面之 IP 流量的相關資訊,包括介面端點。您可以將流程日誌資料發佈到 Amazon CloudWatch 或 Amazon S3。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 流量日誌來記錄 IP 流量

  • 您可以將 Amazon EKS API 連線到擁有介面端點的 VPC,藉以從內部部署資料中心存取 Amazon EKS API。您可以使用 AWS Direct Connect 或 AWS Site-to-Site VPN 將內部部署網站連線到 VPC。

  • 您可以使用 AWS Transit Gateway 或 VPC 對等互連,將其他 VPC 連線到具有介面端點的 VPC。VPC 對等互連是兩個 VPC 之間的網路連線。您可以在自己的 VPC 之間建立 VPC 對等互連,或與其他帳戶的 VPC 建立對等互連。VPC 可以是不同 AWS 區域的。對等 VPC 之間的流量會保留在網路上。 AWS 流量不會周遊公有網際網路。傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC。VPC 和傳輸閘道之間的流量保持在 AWS 全域私有網路上。流量不會向公有網際網路公開。

  • Amazon EKS 的 VPC 介面端點只能透過 IPv4 存取。不支援 IPv6

  • AWS PrivateLink 亞太區域 (海德拉巴)、亞太區域 (墨爾本)、亞太區域 (大阪)、加拿大西部 (卡加利)、歐洲 (西班牙)、歐洲 (蘇黎世) 或中東 (阿拉伯聯合大公國) 不提供支援服務 AWS 區域。

建立 Amazon VPC 的介面端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface ()AWS CLI為 Amazon EKS 建立介面端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立 VPC 端點

使用以下服務名稱為 Amazon EKS 建立介面端點:

com.amazonaws.region-code.eks

建立 Amazon EKS 和其他 AWS 服務的介面端點時,預設為啟用私有 DNS 功能。但是,您必須確保將下列 VPC 屬性設為 trueenableDnsHostnamesenableDnsSupport。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的檢視和更新 VPC 的 DNS 屬性。在介面端點啟用私有 DNS 功能時:

  • 您可以使用其預設區域 DNS 名稱對 Amazon EKS 進行任何 API 請求。例如 eks.region.amazonaws.com。如需 API 清單,請參閱《Amazon EKS API 參考》中的動作

  • 您無需對呼叫 EKS API 的應用程式進行任何變更。

  • 對 Amazon EKS 預設服務端點進行的任何呼叫,都會透過私有網路透過界面端點自動 AWS 路由傳送。